AndroRAT, o unealtă de acces de la distanță pentru Android, a fost identificată ca o amenințare majoră în domeniul securității cibernetice. Utilizând tehnici avansate, malware-ul fură modele de deblocare a dispozitivelor, coduri PIN și parole.
TL;DR
- AndroRAT fură coduri de deblocare și parole de pe dispozitive Android.
- Folosește magazine terțe și campanii de phishing ca metode de distribuție.
- Exploatează vulnerabilități deja cunoscute și remediate parțial.
- Include funcții precum keylogger și sistem de evitare a detectării prin tehnologii anti-virus.
Evoluția AndroRAT
Noua variantă a AndroRAT, inițial un proiect academic lansat în 2012, a evoluat într-o unealtă periculoasă pentru securitatea cibernetică, reușind să depășească măsurile de securitate ale Android până la versiunea 15.
Tehnici și vectori de atac
AndroRAT utilizează un proces de infecție în mai multe etape, începând cu aplicații dropper distribuite prin magazine terțe și campanii de phishing. Un payload observat este mascat ca o aplicație utilitară, „TrashCleaner,” activând instalarea unei componente deghizată ca o aplicație de calculator. Aceasta exploatează permisiuni de sistem pentru a injecta exploit-uri în procesul com.android.settings.
- Extracția hash-urilor de la Gesture.key: AndroRAT vizează fișierele care stochează hash-uri ale modelelor de deblocare, extrăgându-le pentru spargerea ulterioară offline.
- Ocolirea interacțiunii cu ecranul: Comenzi de shell simulate ajută malware-ul să deblocheze automat dispozitivele chiar și cu autentificare activă.
- Injecția în memorie: Exploatând vulnerabilități în Android’s Bionic libc, malware-ul injectează payload-uri în procese legitime precum com.google.android.gms.
Modalități de protecție
Organizațiile sunt sfătuite să monitorizeze și să blochese traficul către anumite IP-uri asociate cu serverele C2 ale AndroRAT. Implementarea unor politici SELinux stricte și monitorizarea activităților anormale în bazele de date pot preveni activitățile malițioase.
Atacuri și protecție
Apariția AndroRAT subliniază evoluția uneltelor academice în unelte periculoase. Drivere Android neactualizate rămân vulnerabile. Este esențial ca utilizatorii și companiile să instaleze actualizări de firmware și să evite aplicațiile din surse necunoscute.
Îmbunătățiri ale mecanismelor de securitate Android și educația privind metodele de inginerie socială sunt esențiale pentru a combate amenințările cibernetice actuale.
Sursa articolului:
https://cybersecuritynews.com/new-android-rat-dubbed-androrat/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
